HARD CORE SECURITY LAB

Okazuje się, że niestety coraz częściej mamy do czynienia ze złośliwymi dodatkami i rozszerzeniami do popularnych przeglądarek internetowych. Kilka miesięcy temu dość głośno zrobiło się o dwóch zainfekowanych dodatkach do Firefoksa. Kilka dni temu prezentowałem zaś przykładowe rozszerzenie do Google Chrome, zdolne do potajemnego wykradania haseł internautów. Tymczasem Mozilla znów ostrzegła użytkowników swej przeglądarki przed kolejnymi oficjalnie dystrybuowanymi dodatkami.

Zgodnie z ostrzeżeniem opublikowanym przez Mozillę, dodatek Mozilla Sniffer, który od 6. czerwca był dostępny w ramach oficjalnej witryny Dodatki dla Firefoksa, wykradał poświadczenia internautów i przekazywał je na zdalny serwer. W chwili obecnej dodatek ten nie jest już dystrybuowany, a internauci którzy zdążyli go już pobrać (około 1800 pobrań) i zainstalować, zostaną automatycznie powiadomieni o zagrożeniu.

Niestety, może się okazać, że samo odinstalowanie dodatku to dopiero początek. Hasła i tak mogą się już znajdować w rękach komputerowych przestępców, musimy więc również zmienić wszelkie dane logowania, z których korzystaliśmy w trakcie obecności Mozilla Sniffera. Jest to więc kolejny przypadek, gdy złośliwy dodatek swobodnie prześlizguje się przez automatyczne mechanizmy kontrolne Mozilli. Jako, że dodatek znajdował się w fazie eksperymentalnej (co wiązało się z odpowiednim ostrzeżeniem przy próbie jego instalacji), nie wykonano inspekcji jego kodu.

Ponadto, w bardzo popularnym dodatku CoolPreviews w wersji 3.0.1 oraz starszych, odkryta została poważna luka pozwalająca na wykonanie złośliwego kodu za pomocą specjalnie spreparowanego odnośnika. Sprawa jest poważna, ze względu na ogromną ilość aktywnych użytkowników (177 tys.) oraz publiczną dostępność kodu PoC. Wersje dodatku podatne na atak mają również trafić na listę dodatków zablokowanych, a użytkownicy powinni skorzystać z nowej wersji CoolPreviews.

Jak już wielokrotnie wspominałem, znane nam obecnie mechanizmy rozszerzania funkcjonalności przeglądarek stanowią spore realne zagrożenia dla bezpieczeństwa naszego systemu informatycznego oraz danych. Popularność dodatków oraz brak naprawdę skutecznych mechanizmów kontroli kodu przed jego upublicznieniem, zostały już dawno zauważone przez komputerowych przestępców i będą przez nich coraz częściej wykorzystywane. Wygląda więc na to, że bez stworzenie skutecznych mechanizmów detekcyjnych (prawdopodobnie nie obędzie się bez manualnej inspekcji), które skutecznie nie pozwolą złośliwym dodatkom na przedostawanie się do oficjalnych kanałów dystrybucyjnych, coraz częściej będziemy świadkami powstawania złośliwego oprogramowania, które można określić mianem... addware.

[źródło]